Des chercheurs français ont réussi à cloner une clé de sécurité YubiKey grâce à un canal latéral récemment découvert

Qui nécessite un accès physique à l'appareil

Les YubiKeys, largement utilisées pour l’authentification à deux facteurs (2FA), sont réputées pour leur sécurité robuste. Cependant, une récente découverte a révélé une vulnérabilité critique qui pourrait compromettre cette réputation. Des chercheurs en sécurité ont identifié une faille cryptographique dans les YubiKeys de la série 5, qui permettrait à des attaquants de cloner ces dispositifs. Cette vulnérabilité, connue sous le nom de canal auxiliaire, réside dans un microcontrôleur utilisé dans de nombreux dispositifs d’authentification.

Le YubiKey 5, le jeton matériel le plus largement utilisé pour l'authentification à deux facteurs basée sur la norme FIDO, contient une faille cryptographique qui rend le dispositif de la taille d'un doigt vulnérable au clonage lorsqu'un attaquant y accède physiquement de manière temporaire, ont déclaré des chercheurs mardi.

La faille cryptographique, connue sous le nom de canal latéral, réside dans un petit microcontrôleur utilisé dans un grand nombre d'autres dispositifs d'authentification, notamment les cartes à puce utilisées dans le secteur bancaire, les passeports électroniques et l'accès aux zones sécurisées. Si les chercheurs ont confirmé que tous les modèles de la série YubiKey 5 peuvent être clonés, ils n'ont pas testé d'autres dispositifs utilisant le microcontrôleur, tels que le SLE78 fabriqué par Infineon et les microcontrôleurs qui lui ont succédé, connus sous le nom d'Infineon Optiga Trust M et d'Infineon Optiga TPM. Les chercheurs pensent que tout appareil utilisant l'un de ces trois microcontrôleurs et la bibliothèque cryptographique d'Infineon présente la même vulnérabilité.


Il n'est pas possible d'apporter un correctif via une mise à jour du micrologiciel

Le fabricant de YubiKey, Yubico, a publié un avis en coordination avec un rapport de divulgation détaillé de NinjaLab, l'entreprise de sécurité qui a procédé à l'ingénierie inverse de la série YubiKey 5 et a conçu l'attaque par clonage. Toutes les clés YubiKeys dont le micrologiciel est antérieur à la version 5.7 (qui a été publiée en mai et qui remplace la cryptothèque Infineon par une cryptothèque personnalisée) sont vulnérables. Il n'est pas possible de mettre à jour le micrologiciel de la clé YubiKey. Toutes les clés YubiKey concernées sont donc vulnérables en permanence.

« Un pirate pourrait exploiter ce problème dans le cadre d'une attaque sophistiquée et ciblée afin de récupérer les clés privées concernées », confirme l'avis. « L'attaquant devrait être en possession physique de la YubiKey, de la Security Key ou du YubiHSM, connaître les comptes qu'il souhaite cibler et disposer d'un équipement spécialisé pour mener à bien l'attaque nécessaire. En fonction du cas d'utilisation, l'attaquant peut également avoir besoin de connaissances supplémentaires, notamment le nom d'utilisateur, le code PIN, le mot de passe du compte ou la clé d'authentification. »

Comment fonctionne l’attaque

L’attaque exploite des indices laissés par des manifestations physiques telles que les émanations électromagnétiques, des caches de données ou le temps nécessaire pour accomplir une tâche, autant d'éléments qui laissent s'échapper des secrets cryptographiques. Dans ce cas, le canal auxiliaire est lié au temps pris pour effectuer une inversion modulaire, une opération mathématique essentielle dans l’algorithme de signature numérique à courbe elliptique (ECDSA)

Les canaux latéraux sont le résultat d'indices laissés dans des manifestations physiques telles que des émanations électromagnétiques, des caches de données ou le temps nécessaire pour accomplir une tâche cryptographique. Dans le cas présent, le canal auxiliaire est lié au temps pris pour effectuer une inversion modulaire, une opération mathématique essentielle dans l’algorithme de signature numérique à courbe elliptique (ECDSA)

La cryptothèque Infineon n'a pas mis en œuvre une défense courante contre les canaux latéraux, connue sous le nom de temps constant, lorsqu'elle effectue des opérations d'inversion modulaire impliquant l'algorithme de signature numérique à courbe elliptique. Le temps constant garantit que l'exécution des opérations cryptographiques sensibles au temps est uniforme plutôt que variable en fonction des clés spécifiques.

En utilisant un oscilloscope pour mesurer le rayonnement électromagnétique pendant que le jeton s'authentifie, les chercheurs peuvent détecter de minuscules différences de temps d'exécution qui révèlent la clé ECDSA éphémère d'un jeton, également connue sous le nom de nonce. Une analyse plus poussée permet aux chercheurs d'extraire la clé secrète ECDSA qui sous-tend toute la sécurité du jeton.